Firefox & Chrome: RndPhrase: sichere und einmalige Passwörter für jede Webseite
Leser DonHæberle stellte mir per E-Mail eine Erweiterung für den Firefox und Google Chrome vor – die Mail war voll mit Infos und so gut geschrieben, dass ich um einen Gastbeitrag bat. Lange Rede, kurzer Sinn – here we go:
Hallo zusammen. Dieser Tage bin auch auf ein Add-on gestossen, welches ich gerade in der aktuellen Diskussion zu Themen wie Passwortsicherheit in Browsern sehr passend fand. Als ich Caschy darauf aufmerksam machte, bot er mir sofort an, dieses als Gastbeitrag zu veröffentlichen, was ich natürlich gerne annehme.
In diesem Sinne vielen Dank für die Gelegenheit und noch viel mehr danke ich dir hiermit, für die sehr vielen z. T. sehr interessanten Artikel, die du unermüdlich anderen zu Verfügung stellst. Doch nun zur Sache: Was macht das Add-on RndPhrase? Es verschlüsselt Passwörter schon während der Eingabe zu einer – in Abhängigkeit von der URL und einer eigenen Passphrase – vollkommen anderen, individuell unterschiedlichen Zeichenfolge.
Wenn man z. B. „meinpasswort“ in das Passwortfeld bei http://facebook.com eingibt, wird daraus dann die Zeichenfolge „2ecostz9aowpm6jv“ erzeugt, welche dann tatsächlich verwendet wird. Das selbe Passwort bei http://google.com übergibt stattdessen die Zeichenfolge „6obdrpzzloxdi8f8“ als Passwort an die Seite.
Der Vorteil dabei: Ist ein Dritter in den Besitz des Passwortes gelangt, sei es durch einen Keylogger oder einfach nur deswegen, weil einem jemand beim eingeben zu genau auf die Finger geschaut hat, kann er damit dennoch nichts anfangen.
Das tatsächlich verwendete Passwort ist ein vollkommen anderes, als das, was im Eingabefeld verwendet wurde. Nächster Vorteil: Man kann auf allen Seiten das gleiche Passwort verwenden und dennoch wird bei jeder URL eine andere Zeichenfolge erzeugt. Bedeutet: Wurde das tatsächliche Passwort durch einen Trojaner lokal oder auf der Webseite gekapert, kann man sich damit trotzdem nirgendwo anders einloggen.
Nun wird man sich fragen: Naja – dann installiert sich der Dritte eben die gleiche Erweiterung, dann wird aus mein „meinpasswort“ auch wieder die gleiche Zeichenfolge. Genau dafür kann man aber eine persönliche Passphrase – einen „Seed“ – vorgeben, mit der die erzeugte Zeichenfolge zusätzlich verschlüsselt wird.
Beispiel: Wurde als Seed in den Einstellungen „test123“ vorgegeben, so ergibt die Eingabe von „meinpasswort“ bei http://facebook.com die Zeichenfolge „7hefnijq2ol7v06p“ bzw. „0dha7xzmc2nj5e3u“ bei http://google.com – also eine völlig andere wie zuvor. Testen lässt sich das Ganze auch unter http://rndphrase.appspot.com.
Wie funktioniert das Ganze? Add-on installieren. Seed in den Einstellungen vorgeben. Fertig. Damit das Add-on weiß, wann es die Eingabe in einem Formularfeld umwandeln soll, gibt man dort als erstes Zeichen ein „@“ ein.
Das Zeichen verschwindet dann gleich wieder, die Hintergrundfarbe des Feldes ändert sich und signalisiert nun, dass RndPhrase nun die Eingabe übernimmt.
Also wenn man das nächste mal seine Passwörter wieder ändert, dann ist das die beste Gelegenheit gleich RndPhrase zu verwenden. Das Add-on lässt sich auf den gängigen Erweiterungsseiten für Firefox und Chrome herunterladen.
Wer stets die aktuellste Version verwenden möchte, kann sich den Sourcecode der Erweiterung direkt herunterladen. Ein Linux-Installer für Firefox, Chrome und Conkeror liegt bei. Eine kurze Anleitung dazu findet man ebenfalls auf der anfangs verlinkten Wiki-Seite.
Aber wie sieht es aus, wenn eine Seite die URL ändert, kann man dann den Accouunt vergessen, weil man an das „richtige“ Passwort nicht mehr ran kommt?
Zuerst: Genial! Dann: Da ich relativ viel unterwegs bin und (leider) nicht immer an meinem eigenen Computer sitze, wie logge ich mich aus dem Internetcafé/von einem fremden Computer ein?
Und was ist, wenn ich mich mal schnell wo anders (an einem anderen PC, am iPad, oder sonstwo) in meinen Mailaccount einloggen will? Oder wenn ich Facebook auf meinem Handy nutze?
hm, ist mir gerade zu hoch. Ich habe also bei z.B. Facebook mein Passwort auf „2ecostz9aowpm6jv“ gesetzt (richtig?). Gebe aber „meinpasswort“ ein, und er loggt sich ein? – Mein „richtiges“ Passwort bleibt aber – da es ja bei Facebook im System liegt – immer „2ecostz9aowpm6jv“ ? richtig?
@Fredyy: dann nimmt man den Passwortgenerator, auf den im Artikel verlinkt wurde 😉
@Etth: Private Passwörter auf fremden PCs zu verwenden, ist an sich schon ziemlich bedenklich. Wenn es um die Sicherheit von Passwörtern geht, sollte man diese auch nur auf eigenen Systemen verwenden, von denen man auch halbwegs sicher sein kann, dass sie nicht ohnehin schon kompromitiert wurden oder per VNC überwacht werden. Aber grundsätzlich hast du natürlich recht: Die Erweiterung ist noch neu und sollte natürlich für mobile Browser ebenfalls noch unterstützt werden.
Ich muß mich meinen „Vorrednern“ anschließen. Meiner Meinung nach auch nur praktikabel wenn man sich nur von daheim einlogged, sonst muß man das AddOn auf dem Fremden Rechner installieren oder sich „2ecostz9aowpm6jv“ merken 🙁
Oder den Passwortgenerator um sich „2ecostz9aowpm6jv“ wieder errechnen zu lassen aus Seed und eigentlichem Passwort. Irgendwie umständlich.
@Freddy: hab den Generator eben mal getestet. Das Passwort wird nur bis maximal bis zur TLD generiert, für Unterseiten (z.B. facebook.com/index.php) gibt es also keinen. So müßte also die TLD wechseln oder der Domainname, um ein neues Passwort zu benötigen.
So gut die Idee dahinter ist, aber da ich oft von unterwegs z.B.F Facebook benutze ist mir das zu umständlich immer erst vorher den Generator aufzurufen.
Ich hätte da ein ganz komisches Gefühl mir ein Plugin in der Browser zu hauen, dass den Zweck hat mit meinen Passwörtern was zu machen.
Ich erkläre hier auch gerne meine Befürchtungen – wir haben vor einiger Zeit ein Observation Plugin für den Firefox entwickelt (war Teil einer Hackingaufgabe beim Swiss Cyber Storm).
Ich möchte jetzt natürlich nicht dem Entwickler unterstellen, dass er was eingebaut hat – aber ich muss halt daran denken, dass man wenn man sich mit der Authentifizierung beschäftigt, man mit Sicherheit auch auf diese Möglichkeit des Passwortdiebstahls stößt.
Die Grundidee finde ich trotzdem Klasse 🙂
@blub: Du denkst zu kompliziert: Wenn du dein Passwort irgendwo ändern willst, dann gehst du auf die entsprechende Seite und im Passwortfeld gibst du erst ein „@“ ein, danach (Hintergrundfarbe des Eingabefeldes ändert sich sobald RndPhrase aktiviert ist) „meinpasswort“ (um bei dem Beispiel zu bleiben). Wenn du dich später irgendwann wieder einloggst, dann gibst du im Passwortfeld wieder ein „@“ ein und anschließend wiederrum „meinpasswort“. Die tatsächlich verwendete Zeichenfolge musst du nirgends eingeben; das erledigt RndPhrase für dich.
@blub: Um deine Frage noch zu beantworten: Richtig! 😉
Ich kann euch auch die Erweiterung pwdhash für Chrome: https://chrome.google.com/extensions/detail/dnfmcfhnhnpoehjoommondmlmhdoonca?hl=en und Firefox: https://addons.mozilla.org/en-US/firefox/addon/1033/ empfehlen.
Dieses erzeugt auch anhand der URL und einem Standardpasswort ein neues. Das Ganze lässt sich auch ohne Erweiterung auf der Website nutzen: https://www.pwdhash.com/
Wird übrigens von der Stanford University entwickelt.
Ist kompatibel mit Lastpass. Lastpass speichert das generierte Passwort, dadurch gibt es auch kein Vergessen.
So soll es sein. Prima Sache!
Wow klasse Tipp,
da ich auf login seiten vorallem mit Opera bin, warte ich mal noch bis für den auch ein addon drausen ist, ansonsten echt genial
@tobi: PwdHash erlaubt aber keinen eigene, zusätzliche Passphrase und hat damit auch die eingangs genannten Nachteile.
Moin,
ich verwende seit langem eine ähnliche Erweiterung. https://addons.mozilla.org/de/firefox/addon/1033/
Im wesentlichen sehe ich jeweils ein Argument das für die eine und gegen die andere Erweiterung spricht.
Erweiterungsautor -> Ohne brinchj zu kennen ist mir deutlich wohler bei einer Erweiterung an der u.a. Blake Ross mitentwickelt hat.
Salt -> Die Verschlüsselung durch ein individuelles Salt abzusichern spricht für RndPhrase.
Wenn man neben einer der beiden Passwort-Erweiterungen andere Addons nutzt und diese aus unsicheren Quellen stammen (z.B. Mozilla Sandbox) ist es aber wahrscheinlich aber vollkommen irrelevant, ob das jeweilige Passwort Addon sicher ist.
Ich kann da nur http://passwordmaker.org/ empfehlen – generiert auf jeder Plattform für URL+Masterpasswort random hashes nach eigenen Vorgaben. Generatoren für „oh was mache ich wenn ich ohne Hemd und Hose unterwegs bin“ sind in unzähligen Massen vorhanden (als Beispiel: http://www.hansche.de/android/apoma/)
@El Burro: Großartiges Teil! Ist in der Tat deutlich vielversprechender und flexibler. Einziger Haken: Der Online-Generator bietet keinen verschlüsselten Seitenzugang (HTTPS) an, falls man doch einmal darauf zurückgreifen möchte, womit die Übertragung der supersicheren Passwörtern in geteilten Netzen schon per se wieder unsicher ist. Sonst: Top! Vielen Dank für den Tipp! Das Ding könnte man auch mal hier im Blog vorstellen … 😉
@DonHæberle: Vielleicht hilft der Abschnitt „Is this page secure?“ unter der ganzen Formularseite http://passwordmaker.org/passwordmaker.html weiter. Klingt wenigstens plausibel.
@werner 67: Auf was genau willst du hinaus?
@Don
zum Thema https und Onlinegenerator ist weiter unten nach zu lesen:
IS THIS PAGE SECURE?
This page uses only javascript and html to generate passwords. There is no form submission — purposefully — so there is no way for the server to see or store your passwords (including the master). It would be a security risk to send passwords over an HTTP (not HTTPS) connection, and also to store them whatsoever (even encrypted) on a server; not to mention a violation of your privacy.
😉